Polymorphic Sadownloader {FUD}

Iniciado por sadfud, Octubre 28, 2016, 09:12:28 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Octubre 28, 2016, 09:12:28 PM Ultima modificación: Octubre 28, 2016, 11:51:46 PM por sadfud
Buenas underc0deanos, en este post presentare una nueva herramienta, en este caso un downloader.


La herramiento genera un downloader *.bat, el metodo lo descubri analizando una pieza de ransomware no muy conocida, me gusto asi que aqui esta la implementacion.
Antes de dejar el link de descarga, hablare un par de lineas sobre la herramienta

Este downloader es polimorfico, esto significa que cada generado solo sera igual a los demas en un 21% del codigo, es por esto que la deteccion del payload sera complicada para las compañias de antivirus, lo unico que van a poder firmar es la URL del archivo a descargar ya que esta en texto plano en el archivo. Si apareciese alguna otra deteccion que no dependiese de la URL ni de la ruta de droppeo escribid un comentario e intentare solucionarlo.

Adjunto imagen de una comparacion entre dos payloads generados con las mismas opciones.


Igual en los dos archivos
Diferencias entre los dos archivos

A dia de hoy el scan esta 1/35 siendo detectado por NANO Antivirus como Trojan.Script.Agent.bfwzap dado que este antivirus es muy minoritario no creo que sea algo de lo que preocuparme.

Scan completo: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Dejo un gif del funcionamiento con ESET NOD32 v9 completamente actualizado (El modo jugador se activo al grabar el gif pero no afecta)


Como se ve en el GIF necesita permisos de administrador el archivo ya que droppea en C, contemplando dos opciones, TEMP o APPDATA

Link de descarga No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Contraseña: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

*Ni que decir tiene que esta herramienta se ha desarrollado y publicado con fines meramente educativos y que no me responsabilizo del mal uso que se le pueda dar

Un saludo
Mi blog: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Si necesitas ayuda, no dudes en mandar MP

SadFud eres una maquina mi amigo,gracias por el aporte y un saludo

Noviembre 02, 2016, 05:37:13 PM #2 Ultima modificación: Noviembre 02, 2016, 11:32:07 PM por OnTheCore
No es un downloader polimorfico, simplemente estas generando archivos .bat mas o menos ofuscados.
Las compañias antivirus no detectan esto porque no tienen ganas, pero en casos donde (como en estos .bat que generas) hay partes que varían y partes estáticas, ponen una firma en la parte estática y listo, detectado.
Por otra parte, es un .bat, cualquier firewall o sistema de detección por comportamiento lo detecta rapidísimo.
No lo tomes como ofensa.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No es un downloader polimorfico, simplemente estas generando archivos .bat mas o menos obfuscados.
Las compañias antivirus no detectan esto porque no tienen ganas, pero en casos donde (como en estos .bat que generas) hay partes que varían y partes estáticas, ponen una firma en la parte estática y listo, detectado.
Por otra parte, es un .bat, cualquier firewall o sistema de detección por comportamiento lo detecta rapidísimo.
No lo tomes como ofensa.

1) Si, si es polimorfico, entendiendo como polimorfismo:
"En relación a los virus informáticos un código polimórfico o polimorfismo es aquel que se sirve de un motor polimórfico para mutarse a sí mismo mientras mantiene su algoritmo original intacto. Esta técnica es utilizada comúnmente por virus informáticos y gusanos para ocultar su presencia."
2) Si colocaran una firma en la parte estatica generarian un monton de falsos positivos en archivos legitimos
3) Si ves el gif ni el firewall de nod32 ni el de windows lo detectan

La proxima vez, si quieres hacer una critica (supongamos que constructiva) lo minimo es saber de que hablas y leer el post (incluidas las imagenes).

Un saludo
Mi blog: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Si necesitas ayuda, no dudes en mandar MP

Noviembre 02, 2016, 11:23:09 PM #4 Ultima modificación: Noviembre 02, 2016, 11:31:56 PM por OnTheCore
Citar1) Si, si es polimorfico, entendiendo como polimorfismo:
"En relación a los virus informáticos un código polimórfico o polimorfismo es aquel que se sirve de un motor polimórfico para mutarse a sí mismo mientras mantiene su algoritmo original intacto. Esta técnica es utilizada comúnmente por virus informáticos y gusanos para ocultar su presencia."
Vos mismo me estas justificando. Eso que generas no se parece ni un poco a un gusano o a un virus. Es un downloader.
El programita genera un downloader ofuscado el cual supongo que va a ser ejecutado en varias maquinas. En todas esas máquinas que se ejecute va a decargar y ejecutar algo y se va a borrar (eso es lo que supongo que hace un downloader) y en todas esas máquinas el código va a ser el mismo a menos que descubras un método de mutar el código sin ejecutar. Nunca cambia nada, solamente el "Polymorphic sadownloader" genera scripts que son parcialmente distintos entre si.
El script generado nunca muta, y si es que muta (ni me quiero gastar en probarlo) algo estas haciendo mal, porque es un downloader y un downloader se ejecuta una sola vez.

Ahora te doy un ejemplo de polimorfismo en virus o gusanos. Tenemos un virus polimorfico que va a infectar todos los ejecutables en archivos removibles. Cada vez que infecta un ejecutable va a meter una copia de si mismo modificada (generalmente cifrada con un mismo algoritmo y distinta llave) en el ejecutable huésped, entonces cada ejecutable va a tener una copia del virus "distinta".
En teoría, esto permitía (o permite) saltarse los motores de firmas de antivirus. Cual es el punto débil? la parte estática que no se modifica.
Lo que haces se parece en algo? yo creo que no.

Si mis criticas no son constructivas no te critico mas, total el que no progresa sos vos. Ya te vas a dar cuenta de que lo que te digo es cierto cuando aprendas mas del tema.

PD: por ahí hay un comando que si le tiras una url te la descarga y no salta el av (depende que descargues) y no tenes que hacer cosas poco prácticas.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Citar1) Si, si es polimorfico, entendiendo como polimorfismo:
"En relación a los virus informáticos un código polimórfico o polimorfismo es aquel que se sirve de un motor polimórfico para mutarse a sí mismo mientras mantiene su algoritmo original intacto. Esta técnica es utilizada comúnmente por virus informáticos y gusanos para ocultar su presencia."
Vos mismo me estas justificando. Eso que generas no se parece ni un poco a un gusano o a un virus. Es un downloader.
El programita genera un downloader ofuscado el cual supongo que va a ser ejecutado en varias maquinas. En todas esas máquinas que se ejecute va a decargar y ejecutar algo y se va a borrar (eso es lo que supongo que hace un downloader) y en todas esas máquinas el código va a ser el mismo a menos que descubras un método de mutar el código sin ejecutar. Nunca cambia nada, solamente el "Polymorphic sadownloader" genera scripts que son parcialmente distintos entre si.
El script generado nunca muta, y si es que muta (ni me quiero gastar en probarlo) algo estas haciendo mal, porque es un downloader y un downloader se ejecuta una sola vez.

Ahora te doy un ejemplo de polimorfismo en virus o gusanos. Tenemos un virus polimorfico que va a infectar todos los ejecutables en archivos removibles. Cada vez que infecta un ejecutable va a meter una copia de si mismo modificada (generalmente cifrada con un mismo algoritmo y distinta llave) en el ejecutable huésped, entonces cada ejecutable va a tener una copia del virus "distinta".
En teoría, esto permitía (o permite) saltarse los motores de firmas de antivirus. Cual es el punto débil? la parte estática que no se modifica.
Lo que haces se parece en algo? yo creo que no.

Si mis criticas no son constructivas no te critico mas, total el que no progresa sos vos. Ya te vas a dar cuenta de que lo que te digo es cierto cuando aprendas mas del tema.

PD: por ahí hay un comando que si le tiras una url te la descarga y no salta el av (depende que descargues) y no tenes que hacer cosas poco prácticas.

No voy a perder tiempo en responderte explicandote nada, simplemente te dare la razon como a un borracho o como a un niño de 10 años. Saludos
Mi blog: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Si necesitas ayuda, no dudes en mandar MP

Lo probe y funciona de maravilla tio, gracias.

eres un genio enhorabuena impresionante proyectos tienes mucho talento un salu2